Blog da Amicatek

Falha crítica de Segurança no Elementor 3.6.3

A Elementor corrigiu uma vulnerabilidade crítica de Execução Remota de Código que foi descoberta pelo analista de ameaças Ramuel Gall da Wordfence em 29 de março de 2022. A Wordfence divulgou a vulnerabilidade para a Elementor por meio de seu endereço de e-mail oficial de contato de segurança, mas não recebeu uma resposta oportuna. Em 11 de abril de 2022, o Wordfence divulgou a vulnerabilidade para a equipe de plugins do WordPress. A Elementor lançou um patch na versão 3.6.3 em 12 de abril de 2022.

O Wordfence descreveu a vulnerabilidade como “Controle de acesso insuficiente levando à execução de código remoto + Assinante”. Ele recebeu uma pontuação CVSS (Common Vulnerability Scoring System) de 9,9 (Crítico). A vulnerabilidade afeta o novo módulo de integração do Elementor, introduzido recentemente na versão 3.6.0.

:: Confira também em nosso Blog:
Guia Completo de Segurança WordPress
Guia de Resolução de Erro no Elementor

O Wordfence publicou uma explicação técnica de como um invasor pode obter acesso não autorizado:

Infelizmente, nenhuma verificação de capacidade foi usada nas versões vulneráveis. Existem várias maneiras de um usuário autenticado obter o Ajax::NONCE_KEY, mas uma das maneiras mais simples é visualizar a fonte do painel de administração como um usuário logado, pois está presente para todos os usuários autenticados, mesmo para usuários de nível de assinante.

O Elementor está instalado em mais de cinco milhões de sites WordPress, mas essa vulnerabilidade específica afeta as versões 3.6.0 – 3.6.2. No máximo, isso afetaria cerca de 34% dos usuários, de acordo com as estatísticas das versões ativas atuais do plug-in. Agora que a vulnerabilidade é pública, os usuários do Elementor são aconselhados a atualizar imediatamente para a versão 3.6.3 ou posterior. Uma correção de segurança relacionada é empacotada com a versão 3.6.4, de acordo com o changelog do plug-in: “Correção: sanitização de controles otimizados para aplicar melhores políticas de segurança no assistente de integração”.

Importante informar que esta atualização não afeta diretamente o plugin Elementor PRO. Se você não conhece o Elementor, descubra se o Elementor PRO vale a pena para o seu site ou se a versão gratuita atende bem a sua necessidade.

Este artigo te ajudou? Faça uma avaliação usando as Estrelas
Fellipe Soares

Fellipe Soares

Bacharel em Sistemas da Informação, trabalha há mais de 10 anos com WordPress na criação de soluções para empresas e profissionais liberais.

Inscreva-se para receber novidades

Tenha em primeira mão conteúdos especiais sobre WordPress

Deixe um comentário

O seu endereço de e-mail não será publicado.

Saiba mais sobre ,

Receba mais notícias como essa sobre Segurançae Notícias através da nossa Newsletter

Notícias sobre Segurança, Marketing, Performance e Negócios sempre relacionadas ao WordPress todas as segundas-feiras, para você começar bem a semana.